Huolehtivatko sote-toimijoille palveluita tarjoavat yritykset riittävästä kyberturvallisuudesta?
Kunnollista tietosuojaa on mahdotonta toteuttaa ilman teknisiä ja organisatorisia tietoturvatoimia. Oikein ymmärrettynä kyberturvallisuus laajentaa tarkastelun koko toiminnan turvallisuudesta varmistumiseen. Kohtaavatko teoriat ja käytännöt sote-alalle palveluita tuotettaessa?
Sote-alan tiedonhallintaan ja erityisesti asiakas- ja potilastietojen tietoturvallisuudesta huolehtimisen yhteyteen liitetään mm. sote-kokonaisarkkitehtuuria, kanta-arkkitehtuuria sekä näiden kautta viittauksia lukemattomiin eri standardeihin ja hyviin käytäntöihin. Perusteltua on pohtia, että pystyvätkö kaikki sote-toimijoille palveluita tarjoavat tahot täyttämään kaikki myös keskenään hieman eri tavalla asioita painottavat hallinnolliset menettelyt täydellisesti. Etenkin tietoturvallisuuteen ja myös tietosuojaan liittyy riskien tunnistaminen ja riskiperusteisuus – siis riskienhallinnan näkökulma. Riskiperusteisuudessa korostetaan riskienhallinnan jatkuvuutta ja arviointien toistuvuutta – ei siis pelkästään yhteen tiettyyn hetkeen ja tietyissä olosuhteissa vallinneeseen tilanteeseen pysähtyvää käsitystä.
Onko riskienhallinta tarpeeksi aktiivista ja oikeassa suhteessa vaatimuksiin nähden?
Sote-toimijan tulisi säännöllisesti pysähtyä tarkistamaan kaikkien alihankintatahojensa osalta, milloin niiden kyberturvallisuuden taso ja vaatimustenmukaisuus on viimeksi arvioitu. Liian helposti hyvät käytännöt jäävät vain mantrana toisteltaviksi korulauseiksi, joiden toteutuminen tai niiden noudattaminen jää käytännössä osoittamatta. EU:n tietosuoja-asetuksen (2016/679) viidennen artiklan ensimmäisessä kohdassa luetellaan pakollisesti noudatettaviksi säädetyt tietosuojaperiaatteet. Saman artiklan toisessa kohdassa säädetään osoitusvelvollisuudesta, eli rekisterinpitäjän on kyettävä osoittamaan noudattaneensa ensimmäisessä kohdassa mainittuja tietosuojaperiaatteita.
Palveluita tarjoavan yrityksen kyberturvallisuuden arvioinnissa sote-toimijan kannattaa kiinnittää huomiota erityisesti seuraaviin seikkoihin:
- Kuinka yritys on toteuttanut tietoturvallisuuden hallinnan?
- Miten yritys huolehtii sisäänrakennetusta ja oletusarvoisesta tietosuojasta?
- Kattaako yrityksen riskienhallinta koko organisaation toiminnan?
- Onko olemassa selkeää menettelyä poikkeamien (mukaan lukien henkilötietojen tietoturvaloukkaukset) havaitsemiseen ja käsittelyyn?
Kaikkiin em. näkökulmiin liittyy ohjeita ja kuvauksia, vastuiden määrittelyä sekä prosessin hallintaa, jotka ovat organisaation ylimmän johdon hyväksymiä. Mahdollisilla sertifikaateilla tai standardeilla voidaan helpottaa yleistä vaatimustenmukaisuuden osoittamista.
Lisätietoja
Tagit
Erikoisosaaminen
Tietoturva |
Toimialakokemus
Terveys- ja sosiaalipalvelut |
Omat tagit
Netum Group - Asiantuntijat ja yhteyshenkilöt
Netum Group - Muita referenssejä
Netum Group - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- M-Files Oy - Accountant - Purchase to Pay (Finland)
- Laura - Senior Developer (Retail Devices & Solutions)
- Frends iPaaS - Finance Manager
- Laura - Talotekniikan asiantuntija
- Laura - Development Manager, Partner Platforms
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
Premium-asiakkaiden viimeisimmät referenssit
- Ampersand Design Oy - Sähköyhtiö sai kirkkaan brändistrategian ja selkeät verkkosivut laajentaessaan palveluitaan
- Ampersand Design Oy - Yrityskatalogin sisältö ja ulkoasu viestivät palveluista selkeästi
- Ampersand Design Oy - Varausjärjestelmä verkossa nostaa tienvarsimainoksen käyttöastetta
- Ampersand Design Oy - Hygieniatukulle toteutettiin kätevä tuotekatalogi verkkokauppapohjaan
- Ampersand Design Oy - Uusi kesäfestari sai sähäkän ilmeen
- Ampersand Design Oy - Kirkastettu palvelubrändi houkuttelee sijoittajia
- Ampersand Design Oy - Aluebrändin kehittäminen toi vetovoimaa Lahden seudulle
Tapahtumat & webinaarit
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
- 16.05.2024 - Five Years Out Helsinki
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - ControlByWeb ohjelmoitavat logiikat (PLC) ovat saatavilla nyt myös WLAN-yhteyksillä
- SprintIT Oy - SprintIT säilyttää arvostetun Odoo Gold Partner -statuksen
- Efima Oyj - Älykäs ohjelmistorobotti – tekoäly palauttaa aiemmin kannattamattomaksi kuopatut RPA-automaatioideat takaisin kehityslistalle
- Nordea - Nordean työ taloustaitojen edistämiseksi palkittiin vuoden yhteiskunnallisena sponsorointitekona
- M-Files Oy - M-Files: A Global Leader in Information Management
- M-Files Oy - Unlocking the value of Knowledge Work Automation
- Timeless Technology - ControlByWeb ohjelmoitavat I/O kontrollerit ja ohjaimet prosessien ohjaamiseen sekä monitorointiin.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |